华住1.3亿用户信息黑市叫卖 谁之过？程序员还是内鬼

　　来源：IT时报　　

　　作者：郝俊慧 章蔚玮

　　昨天，又一起大用户信息遭大规模泄露。所不同的是，信息是从黑市中发布的出售信息中流传开来，截止昨天晚间，这则帖子已有近4000浏览量。

　　5年内最大规模数据泄露

　　昨天上午，在暗网，一位ID名为helen250的用户发帖出售1.3亿名华住旗下酒店入住用户数据包，从实际泄露数据规模，总数约在5亿条（期间可能存在交叉重复）。

　　从出售贴上发布的信息看，目前被泄露的信息包括：

　　华住官网注册资料，包括姓名、手机号、邮箱、身份证号、登录密码等，大约 1.23 亿条记录。

　　酒店入住登记身份信息，包括姓名、身份证号、家庭住址、生日、内部ID号，约 1.3 亿人身份证信息。

　　酒店开房记录，包括内部 ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等，约 2.4 亿条记录。

　　华住集团是国内第一家多品牌酒店集团，根据其官网显示，自2005年创立以来已在中国拥有3817家酒店,酒店品牌覆盖高中低端市场，美爵、VUE、禧玥、诺富特、美居、漫心、全季、桔子水晶、桔子精选、CitiGO、星程、宜必思尚品及大众市场的宜必思、汉庭优佳、汉庭、怡莱、海友等。此次的泄露几乎将华住集团所有酒店数据一网打尽。

　　根据华住的官方信息，华住会的会员在全球超过1亿。在国内，每十人，就有一个是华住用户。

　　据了解，为了取信买家，出售者放出了一个包含10000条数据的测试包。《IT时报》记者获得了这份测试数据，并尝试拨打了其中多个“住店客人”的电话，他们均向记者确认，信息属实。并称已经接到多个核实信息的电话。

　　“威胁猎人”运营方深圳永安在线科技有限公司创始人CEO毕裕告诉《IT时报》记者，根据卖家提供的10000条测试数据，“威胁猎人”用手头已有一些旧数据库进行了交叉验证，结果显示，此次测试的数据绝大多数是新泄露的数据，可以排除卖家在用老数据欺诈买家。

　　“该份数据的真实性非常高，此次的数据泄露也可能成为近5年内国内最大最严重的个人信息泄露事件。” 毕裕告诉记者，他们正在对信息泄露的源头进行测试，看究竟是哪些漏洞导致数据库被拖，目前已有几个推测的方向，但最终确认还需要一定时间。” 

　　是程序员？还是内鬼？

　　发现这一暗网交易，并报警的白帽子网络尖刀安全团队紫豹科技，分析认为漏洞很有可能是华住公司程序员将数据库连接方式上传至GitHub导致其泄露。

　　从紫豹科技公布的信息来看，该数据库在20天前上传至GitHub，与卖家在售卖信息中描述的数据库是在8月14日被拖库的时间相吻合。（拖库：用特定技术获取数据库。）

　　GitHub是一个面向开源及私有软件项目的托管平台，有人将GitHub称为程序员版的MySpace或者网盘。

　　此前，已经发生过不少起因程序员擅自把数据上传到GitHub，导致信息、数据泄露，但考虑到此次事件的严重性和覆盖面之广，却并不能如此简单下结论。

　　根据奇虎科技有限公司旗下的安全公号《安全客》的追踪测试，发现被曝光的“疑似华住程序员”的github用户在6月20号创建了账号，并在20天前创建了项目名“DENGXIANGLONG001/CMS”酒店管理系统”项目，这一项目中应该就是包括了1.3亿用户信息的数据包。

　　但疑点在于，从6月20日至今，这个github用户仅创建了这一个项目（目前，这个项目已经被删除）。加上黑市售卖帖中提及：“如果权限不丢失，后续数据还可以免费发给已购买的大佬”。

　　难免不让人怀疑是否为有人蓄意上传后让人“拖库”？对此，网友提出了相同的疑惑。

　　黑市中已启动交易

　　此外，网上有传说称，这些泄露的数据已经被37万的高价出售？

　　奇虎某实验室研究员潜入黑产群中发现，黑产交易市场中的确已经开始“疯狂”的讨论是否要进行购买，甚至提出了“团购”提议。但价格如何目前尚不能下定论。

　　通过一些技术追踪后，安全员发现，他们的交易流程已进行到telegram沟通交易地步。（telegram是一款俄罗斯的加密聊天软件，具有极高的安全性，很难被监控，经常被高级黑产用来进行聊天交易）但结果如何，目前不得而知。

　　但，可以想象的是，一旦落入到有目的的欺诈团伙手中，这些数据可能威胁到大批用户个人账号、密码安全，同时为电话诈骗提供了更多可利用素材，后果不堪设想。

　　信息安全为何屡屡受到挑战

　　消息曝出后，华住集团的股价出现了下跌。

　　8月28日下午，记者拨打华住的官方客服电话，提出采访确认需求，客服表示将尽快转交公关部，截至下午5点，尚未收到回音。稍晚点时间，华住就此事发出了官方声明。最新消息是，上海警方已启动了调查。

　　但这并不是华住第一次被卷入“开房记录泄露门”。2013年，华住旗下的如家、汉庭等经济型酒店便被曝出过2000万条开房记录被泄露，原因是消费者连接酒店Wi-Fi上网提交用户记录进行网页认证时，其信息并不在酒店服务器上认证，而是被为酒店提供服务器的公司——浙江慧达驿站网络有限公司第三方服务器实时存储，并因系统漏洞被黑客攻击，最终导致客户信息被泄露。

　　同时，记者留意到，华住酒店公布2018 年第二季度财报中显示，华住酒店营业净收入25.2 亿元，增长25.9%，净利润增长39%，其中，人事费用占收入比重16.7%，用于公司提高清洁女工薪酬；而包含信息技术在内的管理费用率则仅占7.1%，这一比例还并不完全是用于信息技术开发。

　　无论，此次泄露事件的根源是程序员缺乏安全意识，还是有内鬼，信息安全技术在中国企业中地位低，不被重视是事实。而保护用户信息安全难的话题其实已经是老生常谈，“在一家企业，安全只能作为成本支出部门，而非盈利部门。” 这在行业内是公开的秘密。却不知，用户信息安全保障往往会成为决定一家企业生死成败的关键所在。